Exporter (0) Imprimer
Développer tout

Sécurité et authentification mobile dans SharePoint 2013

SharePoint 2013
 

S’applique à : SharePoint Server 2013, SharePoint Foundation 2013

Dernière rubrique modifiée : 2012-10-08

Résumé : Découvrez comment contribuer à sécuriser une infrastructure mobile SharePoint et apprenez les différents types d’authentification pris en charge dans SharePoint 2013.

Cet article fournit des conseils de sécurité et des recommandations qui visent à garantir que l’accès à SharePoint Server 2013 et que des données spécifiques dans SharePoint ne sont pas compromis sur un appareil mobile. Cet article détaille également les types d’authentification pris en charge sur différents appareils et les spécifications d’authentification pour l’application SharePoint Newsfeed.

Contenu de cet article :

Cette section fournit des recommandations de sécurité pour l’utilisation d’appareils extérieurs à votre réseau d’entreprise. Un appareil perdu ou volé peut être catastrophique pour une organisation, à plusieurs niveaux. Par conséquent, des mesures doivent être mises en place pour prévenir les menaces à l’intégrité du système.

Parmi les considérations de sécurité générales, notons celles-ci :

  • Les appareils mobiles peuvent contenir des données ou des documents sensibles. Étant donné que les appareils mobiles peuvent être perdus ou volés, il est recommandé de définir des stratégies autour des appareils mobiles afin de protéger les données et les documents sensibles. Cela peut inclure la sécurisation de l’appareil mobile à l’aide d’un code PIN ou d’un verrou et l’effacement à distance des données sur l’appareil mobile. Les programmes et fonctionnalités disponibles varient d’un appareil mobile à l’autre. Pour plus d’informations sur une méthode d’implémentation possible de ces stratégies dans votre organisation, voir Exchange ActiveSync plus loin dans cet article.

  • Vous pouvez indiquer aux utilisateurs les précautions qu’ils peuvent prendre pour protéger leurs informations d’identification utilisateur. Ils peuvent, par exemple, se déconnecter des sites lorsqu’ils ont fini de travailler, n’activer aucune option qui les maintient connectés ou qui mémorise leur mot de passe et supprimer fréquemment les cookies dans le navigateur mobile. Cela permet d’éviter que d’autres personnes utilisent leurs informations d’identification utilisateur pour se connecter à un site SharePoint si leur appareil mobile est perdu ou volé.

  • Il est recommandé d’activer SSL pour sécuriser la communication entre les navigateurs mobiles et l’ordinateur qui exécute SharePoint Server 2013. Pour plus d’informations sur la manière d’utiliser un serveur proxy inverse, tel que Forefront Unified Access Gateway (UAG), pour sécuriser les communications, voir Forefront Unified Access Gateway (UAG) dans la bibliothèque technique Forefront.

Microsoft Exchange ActiveSync est un protocole de communication qui permet l’accès mobile, par voie aérienne, aux messages électroniques, aux données de planification, aux contacts et aux tâches. Exchange ActiveSync est disponible sur Windows Phone et les téléphones et les tablettes de tiers sur lesquels Exchange ActiveSync est activé comme l’iPhone d’Apple. L’un des avantages de l’implémentation d’Exchange ActiveSync dans votre organisation est une sécurité côté appareil, et l’administration par la mise en place de stratégie. Si SharePoint Server 2013 est déployé dans une topologie extranet, les appareils mobiles accèdent à l’ordinateur qui exécute SharePoint Server 2013 via une URL publique. En cas de perte ou de vol de l’appareil mobile, il est impératif de garantir l’intégrité des données SharePoint. Par exemple, en utilisant Exchange ActiveSync, vous pouvez effacer à distance toutes les données contenues sur l’appareil, telles que les configurations SharePoint, ou imposer un mot de passe complexe au niveau de l’écran de verrouillage afin d’empêcher les accès non autorisés.

Le tableau suivant liste une sélection de fonctions Exchange ActiveSync et de stratégies que vous pouvez appliquer à certains appareils.

Tableau : stratégies Exchange ActiveSync pour appareils mobiles

Stratégie Exchange ActiveSync Description

Réinitialisation à distance (il s’agit d’une fonction, pas d’une stratégie Exchange ActiveSync)

En cas de perte, de vol ou perte d’intégrité d’un téléphone mobile, vous pouvez lancer une commande de réinitialisation à distance depuis l’ordinateur Exchange Server ou depuis n’importe quel navigateur web à l’aide de Outlook Web App. Cette commande restaure la configuration d’usine par défaut de l’appareil.

ImportantImportant :
Après une réinitialisation à distance d’un appareil mobile, la récupération des données est très difficile. Toutefois, aucun processus de suppression des données ne laisse un appareil aussi vide de données résiduelles qu’à son état neuf. La récupération de données sur un appareil reste possible à l’aide d’outils sophistiqués.

Imposition d’un mot de passe sur l’appareil (DevicePasswordEnabled)

Ce paramètre active le mot de passe du téléphone mobile.

Longueur minimale du mot de passe (MinDevicePasswordLength)

Cette option spécifie la longueur du mot de passe de l’appareil mobile. La longueur par défaut est de 4 caractères, mais peut en accepter 18.

Mot de passe alphanumérique requis (AlphanumericDevicePasswordRequired)

Ce paramètre impose l’utilisation d’un mot de passe contenant des caractères numériques et non-numériques.

Autoriser les mots de passe simples (AllowSimpleDevicePassword)

Ce paramètre active ou désactive la capacité d’utiliser un mot de passe simple tel que 1234.

Verrou de durée d’inactivité maximale (MaxInactivityTimeDeviceLock)

Cette option détermine combien de temps le téléphone mobile doit rester inactif avant que l’utilisateur doive refournir son mot de passe pour déverrouiller le téléphone mobile.

ImportantImportant :
La sélection de stratégies Exchange ActiveSync pouvant être utilisées peut varier selon les appareils. Pour plus d’informations sur les stratégies qui sont prises en charge sur une plateforme spécifique, telle que Windows Phone et Apple iPhone, voir Présentation des stratégies de boîte aux lettres Exchange ActiveSync.

En cas de perte ou de vol d’un appareil, il peut être utile de trouver l’emplacement de ce périphérique, et de pouvoir effacer tout contenu de données si cela est possible. Il existe plusieurs services et solutions de tiers qui fournissent cette fonctionnalité. Citons par exemple le service Localiser mon téléphone de Windows Phone qui vous aide à retrouver votre appareil mobile en le localisant, ou en empêchant qu’un de l’utiliser sans votre consentement.

La fonctionnalité que ce service peut fournir inclut ce qui suit :

  • Mapper la position de votre appareil mobile.

  • Faire sonner votre appareil mobile.

  • Verrouiller votre appareil mobile et afficher un message.

  • Effacer les données de votre appareil mobile.

RemarqueRemarque :
Pour en savoir plus sur le service Localiser mon téléphone de Windows Phone, voir Recherche d’un téléphone égaré.

SharePoint Server 2013 prend en charge plusieurs méthodes d’authentification et modes d’authentification. Tous les appareils et navigateurs mobiles ne fonctionnent pas avec toutes les méthodes d’authentification disponibles. Lorsque vous planifiez l’accès des appareils mobiles, vous devez effectuer les opérations suivantes :

  • Déterminez les appareils mobiles que vous devez prendre en charge. Ensuite, étudiez les méthodes d’authentification prises en charge par les appareils mobiles. Ces informations varient d’un constructeur à l’autre.

  • Déterminez les sites à rendre accessibles aux utilisateurs d’appareils mobiles.

  • Déterminez si vous souhaitez que les sites SharePoint soient accessibles aux appareils mobiles lorsque ceux-ci sont utilisés à l’extérieur du pare-feu d’entreprise. Si tel est votre souhait, la méthode que vous utilisez pour activer l’accès externe peut également avoir une incidence sur l’authentification des appareils mobiles.

Les tableaux suivants détaillent les types d’authentification pris en charge pour les navigateurs et l’expérience du hub Office de Windows Phone dans SharePoint Server 2013. Ci-dessous, OrgId fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Office 365. En outre, MSOFBA fait référence à l’authentification basée sur les formulaires Microsoft Office.

Tableau : prise en charge de l’authentification mobile pour les navigateurs SharePoint

Infrastructure SharePoint Appareils mobiles

Type d’authentification

Protocole d’authentification

Fournisseur d’ID

Déploiement SharePoint

Windows Phone 7.5 (Internet Explorer Mobile)

Windows Phone 8 (Internet Explorer Mobile)

Windows 8 (Internet Explorer)

iOS 5.x ou versions ultérieures (navigateur Safari)

Android 4.x ou version ultérieure (navigateur Android)

Authentification Windows

NTLM

Active Directory

Sur site

Oui

Oui

Oui

Oui

Oui

Authentification de base

Active Directory

Sur site, extranet

Oui

Oui

Oui

Oui

Oui

Authentification basée sur les formulaires (FBA)

FBA

Active Directory, LDAP, SQL

Sur site, extranet

Oui

Oui

Oui

Oui

Oui

FBA

OrgID

SharePoint Online, scénarios hybrides

Oui

Oui

Oui

Oui

Oui

SAML (basée sur les jetons)

SAML

Fournisseur d’identité compatible WS-Federation 1.1

Sur site, SharePoint Online, scénarios hybrides

Oui

Oui

Oui

Oui

Oui

Tableau : Matrice de prise en charge de l’authentification mobile pour le hub Office

Infrastructure SharePoint Côté client Appareils mobiles

Type d’authentification

Protocole d’authentification

Fournisseur d’ID

Déploiement SharePoint

Géré par :

Windows Phone 7.5 (Internet Explorer Mobile)

Windows Phone 8 (Internet Explorer Mobile)

Authentification Windows

NTLM

Active Directory

Sur site

NTLM

Oui

Oui

Authentification de base

Active Directory

Sur site, extranet

Authentification de base

Non

Oui (https)

Authentification basée sur les formulaires (FBA)

FBA

Active Directory, LDAP, SQL

Sur site, extranet

MSOFBA

Oui

Oui

FBA

OrgID

SharePoint Online, scénarios hybrides

MSOFBA

Oui

Oui

FBA

OrgID

SharePoint Online, scénarios hybrides

Authentification active (IDCRL)

Non

Oui

SAML (basée sur les jetons)

SAML

Fournisseur d’identité compatible WS-Federation 1.1

Sur site, SharePoint Online, scénarios hybrides

MSOFBA

Oui

Oui

SAML

Fournisseur d’identité compatible WS-Federation 1.1

Sur site, SharePoint Online, scénarios hybrides

Authentification active (IDCRL)

Non

Oui

 

RemarqueRemarque :
Pour que les appareils mobiles communiquent avec des serveurs SharePoint, Internet Protocol Security (IPSec) doit être désactivé sur les serveurs. La raison est que les appareils mobiles ne sont pas joints par domaine.

Cette section fournit des instructions d’authentification et décrit les éléments à prendre en compte pour l’application SharePoint Newsfeed. Elle inclut des informations associées aux déploiements sur site et à l’utilisation de SharePoint Online.

Prise en charge de l’authentification pour l’application SharePoint Newsfeed

Le tableau suivant détaille les types d’authentification pris en charge pour l’application SharePoint Newsfeed dans SharePoint Server 2013. Ci-dessous, OrgID fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Office 365. En outre, MSOFBA fait référence à l’authentification basée sur les formulaires Microsoft Office.

Tableau : Matrice de prise en charge de l’authentification mobile pour l’application SharePoint Newsfeed

Infrastructure SharePoint Côté client Appareils mobiles

Type d’authentification

Protocole d’authentification

Fournisseur d’ID

Déploiement SharePoint

Géré par :

Applications Windows Phone 7.5

Applications Windows Phone 8

Applications Windows 8

Applications iOS 6.x ou versions ultérieures

Authentification Windows

NTLM

Active Directory

Sur site

NTLM

Non

Non

Oui

Oui

Authentification de base

Active Directory

Sur site, extranet

Authentification de base

Oui

Oui

Non

Oui (https)

Authentification basée sur les formulaires (FBA)

FBA

Active Directory, LDAP, SQL

Sur site, extranet

MSOFBA

Oui

Oui

Non

Oui

FBA

OrgID

SharePoint Online, scénarios hybrides

MSOFBA

Oui

Oui

Non

Oui

FBA

OrgID

SharePoint Online, scénarios hybrides

Authentification active (IDCRL)

Non

Non

Oui

Oui

SAML (basée sur les jetons)

SAML

Fournisseur d’identité compatible WS-Federation 1.1

Sur site, SharePoint Online, scénarios hybrides

MSOFBA

Oui

Oui

Non

Oui

SAML

Fournisseur d’identité compatible WS-Federation 1.1

Sur site, SharePoint Online, scénarios hybrides

Authentification active (IDCRL)

Non

Non

Oui

Oui

ImportantImportant :
Pour les scénarios fédérés dans SharePoint Online, seuls les services ADFS (Active Directory Federation Services) 2.0 sont pris en charge. Pendant le processus de configuration, l’URI d’authentification de fédération passif : urn:oasis:names:tc:SAML:2.0:ac:classes:Password doit être pris en charge.

Flux de travail d’authentification

L’application SharePoint Newsfeed est prise en charge pour utilisation sur site et sur SharePoint Online. Chaque option peut présenter des différences avec le flux de travail d’authentification de l’utilisateur final. Ce tableau fournit des exemples d’expériences d’authentification pour chaque type d’implémentation.

 

Déploiement Flux de travail Détails

Sur site

SPNewsfeed local

Types d’authentification pris en charge

  • Authentification Windows

  • Authentification basée sur les formulaires

  • SAML

SharePoint Online

SPNewsfeed SPO

Types d’authentification pris en charge

  • Authentification basée sur les formulaires

  • SAML

Pour plus d’informations sur le déploiement de l’application SharePoint Newsfeed sur votre réseau, notamment sur la configuration de l’accès à travers le pare-feu, voir Configurer l’accès externe pour les appareils mobiles dans SharePoint 2013.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft